Kreditkort i webbaplikationer, vad gäller

Citera flera Citera

2013-01-19 12:24

Whippoorwill

Medlem

Plats: Stockholm
Registrerad: Sep 2009

●

Skrivet av jurand:

Om man ska debitera kunder genom kreditkort i en webb app vad är det som gäller vid registrering, lagring av information.

Till exempel, en kund registrerar sitt kort på sidan då vill vi spara en referens av kortet i databasen(inte kortnummer utan bara referens uppgifter så som giltighetstid och 4 sista). Det kommer vara en tredje part som leverantör för själva transaktionen så vi behöver också spara id från tredje part för debiteringen.

En diskussion uppstog då en av cheferna påstår att kreditkortnumret får inte gå genom våra system överhuvudtaget, det vill säga vi måste använda iframe från leverantören så vi får inte använda en enkel egen formulär för då finns risken att vi kan manipulera uppgifter eller sno dom.

Min spontana ide var att posta uppgifterna från en vanlig formulär till en leverantör, spara rev data och jobba på. Jag köper inte riktigt att det är säkrare med iframe(eller pop upp ruta) eller bättre, för meddelandet skickas ändå från klienten genom på nätverket på exakt samma sätt i slutändan. Så det ända argumentet jag inte kunde säga emot var att PUL kräver att man inte kan manipulera data i klienten och en iframe löser biffen.

Jag hittar ingen vettig information om reglerna kring kreditkortshantering och undrar ifall någon här har erfarenhet och information kring detta.

Reglerna för kreditkortsdathantering heter PCI-DSS, Payment Card Industry Data Security Standard. Finns att ladda ner som pdf. https://www.pcisecuritystandards.org/security_standards/

Edit:Som sägs nedan så vill ni inte hamna inom PCI-DSS för att det är dyrt och komplext. Länken var avsedd för att ge möjlighet att se gränserna man vill hålla sig utanför.

Senast redigerat 2013-01-19 12:59

Citera flera Citera (1)

2013-01-19 12:40

djlasseman

Medlem

Registrerad: Jan 2012

●

Skrivet av jurand:

Om man ska debitera kunder genom kreditkort i en webb app vad är det som gäller vid registrering, lagring av information.

Till exempel, en kund registrerar sitt kort på sidan då vill vi spara en referens av kortet i databasen(inte kortnummer utan bara referens uppgifter så som giltighetstid och 4 sista). Det kommer vara en tredje part som leverantör för själva transaktionen så vi behöver också spara id från tredje part för debiteringen.

En diskussion uppstog då en av cheferna påstår att kreditkortnumret får inte gå genom våra system överhuvudtaget, det vill säga vi måste använda iframe från leverantören så vi får inte använda en enkel egen formulär för då finns risken att vi kan manipulera uppgifter eller sno dom.

Min spontana ide var att posta uppgifterna från en vanlig formulär till en leverantör, spara rev data och jobba på. Jag köper inte riktigt att det är säkrare med iframe(eller pop upp ruta) eller bättre, för meddelandet skickas ändå från klienten genom på nätverket på exakt samma sätt i slutändan. Så det ända argumentet jag inte kunde säga emot var att PUL kräver att man inte kan manipulera data i klienten och en iframe löser biffen.

Jag hittar ingen vettig information om reglerna kring kreditkortshantering och undrar ifall någon här har erfarenhet och information kring detta.

Tredjepart som tar hand om transaktionen bör ni vidarebefodra kunden till för att ta emot kortdata, inte ta in kortdatan själva. Det gör att ni helt hamnar utanför PCI DSS scope.

Visa signatur

Citera flera Citera (1)

2013-01-19 12:55

mrqaffe

Rekordmedlem ★

Plats: Salstad
Registrerad: Feb 2009

●

De flesta inlösenföretag har färdiga lösningar för det och man använder dem fullt ut utan att kortinfon passerar ens egna sida, jag antar att det förutom att regleras i PUL även regleras i avtal med banken, det blir i många fall dyrt att lösa det själv på ett sätt som godkänns av banker/kortföretag, själva använder vi Samport för att sköta om kortbetalningar, men jag kan inte detaljerna mer än att det i praktiken krävs rätt stor omsättning innan det går att göra det billigare själv på ett sätt som uppfyller all krav. Du kan ju alltid fråga dem om råd, eller kontakta de banker ni använder och höra vilka krav de ställer.
http://www.samport.se/se/e-handel

Visa signatur

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Citera flera Citera

2013-01-19 13:43

jurand

Medlem

Plats: Göteborg
Registrerad: Okt 2007

●

Skrivet av Whippoorwill:

Reglerna för kreditkortsdathantering heter PCI-DSS, Payment Card Industry Data Security Standard. Finns att ladda ner som pdf. https://www.pcisecuritystandards.org/security_standards/

Edit:Som sägs nedan så vill ni inte hamna inom PCI-DSS för att det är dyrt och komplext. Länken var avsedd för att ge möjlighet att se gränserna man vill hålla sig utanför.

Tackar.

Skrivet av djlasseman:

Tredjepart som tar hand om transaktionen bör ni vidarebefodra kunden till för att ta emot kortdata, inte ta in kortdatan själva. Det gör att ni helt hamnar utanför PCI DSS scope.

Skrivet av mrqaffe:

De flesta inlösenföretag har färdiga lösningar för det och man använder dem fullt ut utan att kortinfon passerar ens egna sida, jag antar att det förutom att regleras i PUL även regleras i avtal med banken, det blir i många fall dyrt att lösa det själv på ett sätt som godkänns av banker/kortföretag, själva använder vi Samport för att sköta om kortbetalningar, men jag kan inte detaljerna mer än att det i praktiken krävs rätt stor omsättning innan det går att göra det billigare själv på ett sätt som uppfyller all krav. Du kan ju alltid fråga dem om råd, eller kontakta de banker ni använder och höra vilka krav de ställer.
http://www.samport.se/se/e-handel

Fast nu går kortdatan genom vårt nätvärk vare sig vi använder IFrame eller posta ett formulär som vi själva skapat.

Här är scenariot.

1. Kund ger oss kundinfo på en pappersblanket(namn, adresser, kortinfo och så vidare)
2. En admin registrerar kunden i systemet
3. Betalningstypen registeras och en ifram dyker upp för att ange kort info som skickas till inlösenföretag
4. Inlösen företag skickar tillbaka status och referens id.
5. Vi börjar debitera de tjänster som han beställer genom att använda ref id.

Jag anser att hela flödet är lite skum men som sagt det är bara en magkänsla, jag har inte fått svar på vad som gäller och vart man får information på vart man kan läsa på vad som gäller. Därför ställer jag frågan här.

Just nu bestämdes att en iframe med en formulär från inlösen företaget skall användas för att registrera kort(för då går inte trafiken genom våran nätverk!) och svaret skickas genom en Azure service till våran servar med responsen, det vill säga användaren får inte se något på ett tag hur registreringen gick och vi har ingen ref data.

Det jag ville(gränssnitt) var att administratören ser responsen direkt och se ifall vi kan spara kortinfo ( till exempel 4 sista och datum). För nu ser administratören bara en guid på kundbilden. Men iframe är ju även säkrare då man inte kan hacka den med till exempel hjälp av Javascript(jag har hijackat formilären för demostrationen skull men ändå) för det är det alternativet tillåts av just PUL och PCI men inte en vanlig formulär.

Trafiken som går genom våran nätverk ändå och användaren har kortinfo på papper.

I vilket fall så får jag inte riktigt ihop det. Med hjälp av iframe så hamnar vi utanför PCI och följer PUL och med en vanlig form så gör vi inte det.

Visa signatur

En Laptop

Citera flera Citera

2013-01-19 13:58

mrqaffe

Rekordmedlem ★

Plats: Salstad
Registrerad: Feb 2009

●

Det där flödet är knappast ok, ni samlar in kortnummer och cvv och pinkoder på papper och knappar sedan in dem manuellt i nått system som gör att det verkar vara kunden som gör det ?
Det strider i så fall mot det mesta som är tillåtet tycker jag, eller hur bär ni er åt för att uppfylla kraven ?

PCI - Säkra kortinformationen

Visa och MasterCard har enats om en säkerhetsstandard, Payment Card Industry Data Security Standard, som också American Express, Diners Club och JCB har anslutit sig till. PCI säkerhetsstandard beskriver hur kortnummer och annan transaktionsinformation ska hanteras och gäller såväl vid betalningar där kortet är fysiskt inblandat som vid post-, telefonorder och e-handel.

Berör PCI säkerhetsstandard dig?

Syftet med PCI är att säkerställa att alla som hanterar kortinformation gör det på ett sådant sätt att obehöriga inte kommer åt informationen. Du har ansvar för att ditt företags kort- och kundinformation inte hamnar i orätta händer.

PCI säkerhetsstandard bygger på Visas program Account Information Security, AIS, och MasterCards program Site Data Protection, SDP. PCI är en standardiserad utvärderings- och rapporteringsprocess för alla som hanterar, samlar in, lagrar och överför kortinformation. Fysiska dokument och elektronisk media (till exempel kvitton, transaktionsloggar och transaktionsrapporter) som innehåller kortinformation ska lagras på en säker plats, som endast behöriga personer har tillgång till.

Det innebär att ditt företag ska:

undvika att lagra kortinformation eller annan känslig information
säkerställa att kortinformation som lagras är krypterad
säkerställa att den fullständiga kortinformationen i kortets magnetspår eller chip samt kortets säkerhetskod (de tre sista siffrorna som är tryckta i signaturfältet) inte lagras efter avslutad kort betalning*
säkerställa att kortnummer alltid trunkeras, det vill säga aldrig trycks i sin helhet på kvitton eller annat tryckt media*
radera kortinformation som inte används
säkerställa att teknisk service genomförs på ett sätt så att kortinformation inte hamnar i orätta händer
behörighetsskydda tillgången till kortinformation med användaridentiteter och lösenord
säkerställa att utgivna behörigheter inte sprids till obehöriga
säkerställa att användandet av behörigheter kan spåras
säkerställa de interna rutinerna för att undvika insiderbrott eller externa intrång i systemet
installera och underhålla säkerhetsprogramvara och skydda systemet mot datavirus
regelbundet genomföra tester av säkerhetssystemet

Visa signatur

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Citera flera Citera (1)

2013-01-19 16:07

djlasseman

Medlem

Registrerad: Jan 2012

●

Ni bör ta kontakt med er inlösande bank så att de kan informerar er om vilka krav som ställs. Samt diskutera med dom hur er korthantering bör se ut.
Jag kan inte förstå varför ni skulle vilja göra på det sätt som du beskriver i flödet, verkar väldigt osmidigt, förutom att det är riskfyllt.

Visa signatur

Citera flera Citera

2013-01-19 17:34

HCP

Medlem ★

Plats: Sundsvall
Registrerad: Feb 2003

●

Det ni beskrivet är inte okej, tyvärr sker det i väldigt många butiker idag.
De har en webbutik och sparar all kortdata, sen sitter de och knappar in kortnumren manuellt i den fysiska butikens betalterminaler.
För att spara in pengar på en kortinlösen via webben. Men när det hackas så blir det krångligt att förklara sig, om de ens erkänner något.

Nä, kör riktigt inlösenavtal där all kortdata hanteras av tredje part, t.ex. Klarna, Payer, Payson, Samport etc.

Visa signatur

Mitt modermodem är trimmat!